Sie sind auf Seite 1von 6
UNIVERSIDAD CIENTÍFICA DEL PERU FACULTAD DE CIENCIAS E INGENIERIA AUDITORIA DE TECNOLOGIAS DE INFORMACION 1º Unidad

UNIVERSIDAD CIENTÍFICA DEL PERU

FACULTAD DE CIENCIAS E INGENIERIA

AUDITORIA DE TECNOLOGIAS DE INFORMACION

1º Unidad

CONCEPTOS GENERALES

Auditoria.

Normas Generales.

Tipos de Auditoria

Necesidades de Auditoria de Sistemas

Objetivos Generales de Auditoria de Sistemas.

Objetivos Específicos de Auditoria de Sistemas

Perfil del Auditor.

Funciones y Responsabilidades del Auditor.

Ing. Cip. Carlos González Aspajo

Auditoria en Tecnologías de Información

1º Unidad

AUDITORÍA:

La auditoria es un examen metódico de una situación relativa a un producto, proceso u organización, en materia de calidad, realizado en cooperación con los interesados para verificar la concordancia de la realidad con lo preestablecido y la adecuación al objetivo buscado.

Se trata de una actividad para determinar, por medio de la investigación, la adecuación de los procedimientos establecidos, instrucciones, especificaciones, codificaciones y estándares u otros requisitos, la adhesión a los mismos y la eficiencia de su implantación

La auditoría nace como un órgano de control de algunas instituciones estatales y privadas. Su función inicial es estrictamente económico-financiera.

La función auditora debe ser absolutamente independiente; no tiene carácter ejecutivo, ni son vinculantes sus conclusiones. Queda a cargo de la empresa tomar las decisiones pertinentes.

La auditoría contiene elementos de análisis, de verificación de exposición de debilidades y disfunciones. Aunque pueden aparecer sugerencias y planes de acción para eliminar las disfunciones y debilidades antedichas; estas sugerencias plasmadas en el Informe final reciben el nombre de recomendaciones.

El término de Auditoria se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas. A causa de esto, se ha tomado la frase "Tiene Auditoria” como sinónimo de que, en dicha entidad, antes de realizarse la auditoria, ya se habían detectado fallas. El concepto de auditoria es mucho más que esto. La auditoria es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una sección, un organismo, una entidad, etc.

La palabra auditoria proviene del latín Auditorius, y de esta proviene la palabra Auditor, que se refiere a todo aquel que tiene la virtud de oír. Por otra parte, el diccionario Español lo define como: Revisor de cuentas colegiado.

NORMAS GENERALES:

Las Normas de Auditoría Generalmente Aceptadas (NAGAs) son los principios fundamentales de auditoria a los que deben enmarcarse su desempeño los auditores durante el proceso de la auditoria. El cumplimiento de estas normas garantiza la calidad del trabajo profesional del auditor.

ORIGEN DE LAS NAGAs:

Las NAGAs, tiene su origen en los Boletines (Statement no Auditíng Standards - SAS) emitidos por el Comité de Auditoria del Instituto Americano de Contadores Públicos de los Estados Unidos de Norteamérica en el año 1948.

Auditoria en Tecnologías de Información 1º Unidad

LAS NAGAS EN EL PERÚ:

Auditoria en Tecnologías de Información

1º Unidad

que permita la expresión de una opinión sobre los estados financieros sujetos a la auditoria”.

En el Perú, fueron aprobados

en

el

mes

de

octubre

de

1968 con motivo

del

II

Congreso de Contadores Públicos, llevado a acabo en la ciudad de Lima.

  • H. Normas de Preparación del Informe:

Posteriormente, se ha

ratificado

su

aplicación

en

el

II

Congreso

Nacional

de

Regulan la ultima fase del proceso de auditoria, para lo cual, el auditor

Contadores Públicos, llevado a cabo en el año 1971, en la ciudad de Arequipa.

 

habrá acumulado en grado suficiente las evidencias, debidamente respaldada en sus papeles de trabajo.

Desde entonces, estas normas son de observación obligatoria para los Contadores Públicos que ejercen la auditoria en nuestro país, por cuanto además les servirá como parámetro de medición de su actuación profesional y para los estudiantes como guias orientadoras de conducta.

DEFINICIÓN DE LAS NORMAS NAGAs:

Estas normas por su carácter general se aplican a todo el proceso del examen y se relacionan básicamente con la conducta funcional del auditor como persona humana y regula los requisitos y aptitudes que debe reunir para actuar como Auditor.

La mayoría de este grupo de normas es contemplada también en los Códigos de Ética de otras profesiones. Las Normas, se definen de la forma siguiente:

  • A. Entrenamiento y Capacidad Profesional:

“La Auditoria debe ser efectuada por personal que tiene el entrenamiento técnico y pericia como Auditor".

  • B. Independencia: "En todos los asuntos relacionados con la Auditoría, el auditor debe mantener independencia de criterio"

  • C. Cuidado o Esmero Profesional: “Debe ejercerse el esmero profesional en la ejecución de la auditoria y en la preparación del dictamen”

  • D. Normas de Ejecución del Trabajo:

Estas normas son mas especificas y regulan la forma de trabajo del auditor durante el desarrollo de la auditoria en sus diferentes fases (planeamiento, trabajo de campo y elaboración del informe).

  • E. Planeamiento y Supervisión: “La auditoria debe ser planificada apropiadamente y el trabajo de los asistentes del auditor, si es que hubiera, debe ser debidamente supervisado.

  • F. Estudio y Evaluación del Control Interno: “Debe estudiarse y evaluarse apropiadamente la estructura del control interno, como base para establecer el grado de confianza que merece, y consecuentemente, para determinar la naturaleza, el alcance y la oportunidad de los procedimientos de auditoria”.

  • G. Evidencia Suficiente y Completa: “Debe obtenerse evidencia competente y suficiente, mediante la inspección, observación, indagación, y confirmación para proveer una base razonable

Pág. 3

Ing. Cip. Carlos Gonzalez Aspajo

  • I. Aplicación de Principios de Contabilidad Generalmente Aceptados (PAGA) “El dictamen debe expresar si los estados financieros están presentados de acuerdo a principios de contabilidad generalmente aceptados”.

TIPOS DE AUDITORIA

Interna

Contable – Financiera

Administrativa

De Sistemas

AUDITORÍA INTERNA:

La auditoria interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados económicamente. La auditoria interna existe por expresa decisión de la empresa.

El control interno comprende el plan de la organización y todos los métodos y procedimientos que en forma coordinada se adoptan en un negocio para salvaguardar sus activos, verificar la razonabilidad y confiabilidad de su información financiera, promover la eficiencia operacional y provocar la adherencia a las políticas prescritas por la administración.

La auditoria interna nace de la práctica, sin principios generales o un cuerpo teórico general.

Por ello se puedes distinguir tres etapas:

  • 1. La primera de ellas comprende la necesidad de obtener precisión en las cuentas y la prevención del fraude.

  • 2. La segunda etapa como consecuencia de la depresión (después de la segunda guerra mundial) la comisión de valores y bolsa hizo responsable a los gerentes de la fiabilidad de sus estados financieros, surgiendo la necesidad de implantar en las empresas un control financiero y contable, así como a intervenir en cuestionar las tomas de decisiones, la salvaguarda de activos y el profundizar en aspectos relativos a la gestión empresarial.

  • 3. La tercera etapa comprende la actuación de la auditoría interna en el área de administración, tanto operacional, como financiera, proporcionando servicios de implementación y de protección.

Pág. 4

Ing. Cip. Carlos Gonzalez Aspajo

Auditoria en Tecnologías de Información 1º Unidad

En la actualidad el auditor interno, procede a la revisión de los controles internos implantados en las empresas con objeto de evaluar los distintos objetivos que el concepto de control interno persigue.

El Auditor interno es un profesional que trabaja en el ámbito interno de la empresa y entre los objetivos que persigue se encuentran el alcance del Trabajo de la Auditoria.

El

Trabajo de Auditoria comprende el examen y evaluación de la idoneidad y

efectividad del sistema de control interno y de su eficacia para alcanzar los objetivos encomendados.

Entre ellos citamos:

  • 1. Fiabilidad e integridad de los informes.

  • 2. Cumplimiento de políticas, planes, procedimientos, normas y reglamentos.

  • 3. Revisión de medios para salvaguarda los activos y en caso necesario verificar la existencia de dichos activos.

  • 4. Utilización económica y eficiente de los recursos.

  • 5. Cumplimiento de los objetivos y fines establecidos para las operaciones o programas.

AUDITORIA CONTABLE-FINANCIERA:

Es la encargada de velar porque las actividades contables, financieras y presupuestarias de la Institución cumplan con los requisitos mínimos establecidos por las técnicas administrativas, los principios de contabilidad generalmente aceptados, las disposiciones legales y demás normativas especificas orientada a brindar información financiera razonable, suficiente y veraz.

El estado de examen o verificación de los estados contables, llevada a cabo por un profesional competente y mediante la aplicación de unos procedimientos, que se plasma en un documento que se llama informe de auditoria y donde se muestra la situación financiera de la empresa, el resultado de sus operaciones, la conformidad de los principios contables aceptados.

AUDITORÍA ADMINISTRATIVA:

Es una revisión sistemática y evaluatoria de una entidad o parte de ella, que se lleva a cabo con la finalidad de determinar si la organización está operando eficientemente. Constituye una búsqueda para localizar los problemas relativos a la eficiencia dentro de la organización.

La auditoria administrativa abarca una revisión de los objetivos, planes y programas de la empresa; su estructura orgánica y funciones; sus sistemas, procedimientos y controles; el personal y las instalaciones de la empresa y el medio en que se desarrolla, en función de la eficiencia de operación y el ahorro en los costos.

La auditoria administrativa puede ser llevada a cabo por el licenciado en administración de empresas y otros profesionales capacitados, incluyendo al contador público adiestrado en disciplinas administrativas, o respaldado por otros especialistas. El resultado de la auditoría administrativa es una opinión sobre la eficiencia administrativa de toda la empresa o parte de ella.

Pág. 5

Ing. Cip. Carlos Gonzalez Aspajo

Auditoria en Tecnologías de Información

1º Unidad

La auditoria administrativa también puede definirse como un examen completo y constructivo de la estructura organizativa de la empresa, institución o departamento gubernamental; o de cualquier otra entidad y de sus métodos de control, medios de operación y empleo eficiente que de a sus recursos humanos y materiales.

AUDITORIA DE SISTEMAS:

No existen definiciones oficiales sobre la auditoria informática, algunas de las que aparecen en libros o se dan en cursos y seminarios tienen la influencia y criterio personal de su autor, no obstante, a continuación se mencionan las que se consideran más importantes:

Una definición podría ser la siguiente: "Se entiende por Auditoria de sistemas una serie de exámenes periódicos o esporádicos de un sistema informático cuya finalidad es analizar y evaluar la planificación, el control, la eficacia, la seguridad, la economía y la adecuación de la infraestructura informática de la empresa".

Otra definición podría ser la siguiente: "La Auditoria de sistemas comprende la revisión y la evaluación independiente y objetiva, por parte de personas independientes y teóricamente competentes del entorno informático de una entidad, abarcando todo o algunas de sus áreas, los estándares y procedimientos en vigor, su idoneidad y el cumplimiento de éstos, de los objetivos fijados, los contratos y las normas legales aplicables, el grado de satisfacción de usuarios y directivos, los controles existentes y el análisis de riesgos".

La Auditoria de Sistemas determina la existencia y la correcta aplicación del control interno, estándares y registros que procuren el aseguramiento de la calidad en las actividades del ciclo de vida de los Sistemas de Información Institucionales y la adquisición y administración adecuadas de los recursos concernientes con las Tecnologías de la Información.

Es el conjunto de técnicas, actividades y procedimientos, destinados a analizar, evaluar, verificar y recomendar en asuntos relativos a la planificación, control eficacia, seguridad y adecuación del servicio informático en la empresa, por lo que comprende un examen metódico, puntual y discontinuo del servicio informático, con vistas a mejorar en:

Rentabilidad

Seguridad

Eficacia.

Adicionalmente Promueve la automatización de las diferentes modalidades de la auditoría.

NECESIDADES DE AUDITORIA SISTEMAS

Las empresas acuden a las auditorias cuando existen síntomas bien perceptibles de debilidad. Estos síntomas pueden agruparse en clases:

Pág. 6

Ing. Cip. Carlos Gonzalez Aspajo

Auditoria en Tecnologías de Información

1º Unidad

Auditoria en Tecnologías de Información

 

1º Unidad

SÍNTOMAS DE DESCOORDINACIÓN Y DESORGANIZACIÓN:

 

Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles.

No coinciden los

propia Compañía.

objetivos del departamento de sistemas con los de la

 

Conocer la situación actual del área de sistemas e informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.

Los estándares de productividad se desvían sensiblemente de los

Verificar

la

seguridad

de

personal,

datos,

hardware,

software

e

promedios conseguidos habitualmente.

instalaciones. Verificar el apoyo de la función informática a las metas y objetivos de la

SÍNTOMAS DE MALA IMAGEN E INSATISFACCIÓN DE LOS USUARIOS:

 

organización.

 

Verificar la seguridad, utilidad, confianza, privacidad y disponibilidad en el

No se atienden las peticiones de cambios de los usuarios.

 

Ejemplos: Cambios de Software en los terminales de usuario,

 

ambiente de TI. Minimizar existencias de riesgos en el uso de Tecnología de información

actualizaciones, variaciones continúas de la GUI, etc.

Revisar las decisiones de inversión y gastos.

No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente.

Verificar la capacitación y educación sobre controles en los Sistemas de Información.

No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones críticas y sensibles.

OBJETIVOS ESPECIFICOS DE AUDITORIA DE SISTEMAS

 

SÍNTOMAS DE DEBILIDADES ECONÓMICO-FINANCIERO:

Incremento desmesurado de costes.

Necesidad de justificación de Inversiones Informáticas (la empresa no esta

convencida de tal necesidad y decide contrastar opiniones). Desviaciones presupuestarias significativas.

Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de Proyectos y al órgano que realizó la petición).

SÍNTOMAS DE INSEGURIDAD:

(Evaluación de nivel de riesgos)

Seguridad Lógica.

Seguridad Física.

Confidencialidad: Los datos son propiedad inicialmente de la organización

que Los .genera. Los datos de personal son especialmente confidenciales Continuidad del Servicio: Es un concepto aun mas importante que la

Seguridad. Establece las estrategias de continuidad entre fallos mediante Planes de Contingencia Totales y Locales. Centro de Proceso de Datos fuera de control. Si tal situación llegara a percibirse, seria prácticamente inútil la auditoria. Esa es la razón por la cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio.

OBJETIVOS GENERALES DE AUDITORIA DE SISTEMAS

Objetivos Generales de una Auditoría de Sistemas. Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados Incrementar la satisfacción de los usuarios de los sistemas computarizados

Pág. 7

Ing. Cip. Carlos Gonzalez Aspajo

Auditoria en Tecnologías de Información 1º Unidad Auditoria en Tecnologías de Información 1º Unidad SÍNTOMAS DE
  • 1. Auditoría a la Seguridad en el Centro de Cómputo

Riesgos Físicos

Organización y Personal

Planes de Respaldo

Pág. 8

Ing. Cip. Carlos Gonzalez Aspajo

Auditoria en Tecnologías de Información

1º Unidad

  • 2. Auditoría a las Aplicaciones en Funcionamiento

Entrada de Datos Procesamiento

Archivos

Salidas

Utilitarios

  • 3. Auditoría al Desarrollo y/o modificaciones a las aplicaciones Solicitudes

Análisis de factibilidad

Etapas de la metodología adoptada

  • 4. Auditoría al Ambiente de Redes Seguridad

Perfiles de Usuarios

  • 5. Auditoría al Ambiente de Microcomputadores

Seguridad física

Utilización

Respaldo

PERFIL DEL AUDITOR DE SISTEMAS:

Respecto al perfil del auditor de sistemas, con carácter general podemos decir que ha de tener niveles suficientes y adecuados de:

Formación.

Experiencia.

Responsabilidad.

Capacidad de análisis y de síntesis.

Objetividad e independencia.

Madurez, que no es lo mismo que muchos años.

El auditor va a evaluar y comprobar los controles y procedimientos informáticos más complejos. Será además responsable de revisar e informara la Dirección de la Organización sobre el diseño y el funcionamiento de los controles implantados y sobre la fiabilidad de la información suministrada.

Otros aspectos derivados del puesto (conocimiento de plataformas concretas, especialización en seguridad, experiencia en desarrollo de aplicaciones si va a "evaluar" esa área).

El auditor informático debe ser una persona con alto grado de calificación técnica y al mismo tiempo estar integrado a las corrientes organizativas empresariales que imperan hoy en día. De esta manera se deben contemplar las siguientes características:

Pág. 9

Ing. Cip. Carlos Gonzalez Aspajo

Auditoria en Tecnologías de Información

1º Unidad

  • 1. Contemplar en su formación básica una mezcla de conocimientos de auditoria financiera y de informática general. Estos últimos deben considerar conocimientos básicos en cuanto a:

Desarrollo informático; de proyectos y del ciclo desarrollo de un

proyecto de desarrollo Gestión del departamento de sistemas.

Análisis de riesgos en un entorno informático.

Sistema Operativo

Telecomunicaciones.

Gestión de base de datos.

Redes locales.

Seguridad Física.

Operaciones y planificación informática; efectividad de las operaciones y del rendimiento de los sistemas.

Gestión de

la

seguridad

de

los

sistemas

y

de

la

continuidad

empresarial a través de planes de contingencia de la información.

Gestión de problemas y de cambios en entornos informáticos.

 

Administración de datos.

Ofimática.

Comercio electrónico.

Encriptación de datos.

Entendimiento básico de los equipos, incluyendo componentes, y sus

capacidades (hardware). Entendimiento básico de la programación (software), incluyendo

sistemas

operativos,

programas

de

aplicaciones,

paquetes

comerciales.

Familiarizado con las técnicas de proceso de archivos y estructuras de

datos. Conocimiento suficiente del uso de paquetes de auditoria.

Habilidad para el análisis de procesos e interpretación de la

documentación inherente (programas, definiciones de registros, políticas, procedimientos, estándares, etc.). Conocimiento de los controles informáticos: Identificar y evaluar,

Determinar hasta dónde deben probarse y evaluar los resultados. Entender y conocer los sistemas de información para desarrollar un plan de auditoria y supervisar su ejecución.

Familiarizarse

con

la

dinámica

que

encierra

el

desarrollo y

mantenimiento de sistemas de información.

  • 2. Especialización en función de la importancia económica que distintos componentes financieros puedan tener en un entorno empresarial.

  • 3. Conocer técnicas de gestión empresarial, sobre todo de gestión de cambio, ya que las recomendaciones y soluciones que se aporten deben estar en la línea de la búsqueda optima de la mejor solución para los objetivos empresariales que se persiguen y con los recursos que tienen.

  • 4. El auditor informático debe tener siempre el concepto de calidad total. Como parte de un colectivo empresarial bien sea permanentemente como auditor interno o puntualmente como auditor externo, el concepto de calidad total

Pág. 10

Ing. Cip. Carlos Gonzalez Aspajo

Auditoria en Tecnologías de Información

1º Unidad

 

Auditoria en Tecnologías de Información

1º Unidad

hará que sus conclusiones y trabajo sea reconocido como un elemento

BIBLIOGRAFÍA:

valioso dentro de la organización y que los resultados sean aceptados en su totalidad.

Auditoria en Informática; José Antonio Echenique.

 

Seguridad de la Información en Sistemas de Cómputo; Luis Ángel Rodriguez.

 

Auditoria en Sistemas Computacionales; Carlos Muñoz Razo.

FUNCIONES Y RESPONSABILIDADES DEL AUDITOR DE SISTEMAS

El auditor de sistemas ha de velar por la correcta utilización de los recursos que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de Información. Claro esta, que para la realización de una auditoria informática eficaz, se debe entender a la empresa en su más amplio sentido, ya que una Universidad, un Ministerio o un Hospital son tan empresas como una Sociedad Anónima o empresa Publica. Todos utilizan la informática para gestionar sus "negocios" de forma rápida y eficiente con el fin de obtener beneficios económicos.

El auditor de sistemas o informático tiene también una responsabilidad con su profesión, la de cumplir con las normas aceptadas por sus colegas en el ejercicio de la profesión.

La función de Auditor Informática debe realizar un amplio abanico de actividades objetivas, algunas de las cuales se mencionan a continuación:

Verificación del control interno, tanto de las aplicaciones centrales como de

las periféricas. Análisis de la gestión de los sistemas de información desde el punto de

vista de riesgo de seguridad, de gestión y de efectividad de la gestión. Análisis de la integridad, fiabilidad y certeza de la información a través del

análisis de las aplicaciones. Auditoria del riesgo operativo de los circuitos de Auditoria de información.

Análisis de la gestión de los riesgos de la información y de la seguridad

implícita. Verificación del nivel de continuidad de las operaciones.

Análisis del estado tecnológico y de las consecuencias empresariales que

un desfase tecnológico puede acarrear. Diagnóstico sobre el grado de cobertura que dan las aplicaciones a las necesidades estratégicas y operativas de información de la organización.

El auditor informático es responsable para establecer los objetivos de control que reduzcan o eliminen la exposición al riesgo de control interno. Después que los objetivos de la auditoria se hayan establecido, el auditor debe revisar los controles y evaluar los resultados de su revisión para determinar las áreas que requieren correcciones o mejoras.

El auditor interno tiene la obligación de convertirse un poco en consultor y en ayuda del auditado, dándole ideas de cómo establecer procedimientos de seguridad, control interno, efectividad, eficacia y medición del riesgo empresarial.

Pág. 11

Ing. Cip. Carlos Gonzalez Aspajo

Pág. 12

Ing. Cip. Carlos Gonzalez Aspajo